Allegro: wyciek kodu źródłowego niektórych plików PHP
Tagi:  darknethakerhakingcyberatak

Allegro: wyciek kodu źródłowego niektórych plików PHP

Jeden z czytelników rzekomo dotarł do pliku konfiguracyjnego frameworka Allegro i wszedł tym samym w posiadanie haseł do serwerów bazodanowych Allegro (co oczywiście nic nie daje, jeśli się do serwerów nie ma dostępu). Przeczytaj więcej na blogu!

Docierają do nas dziesiątki zgłoszeń od użytkowników Allegro, którzy przeglądając serwis, zamiast widzieć sparsowany kod HTML, widzą zwracane przez serwer pliki z kodem PHP do pobrania. Nie ma powodu do paniki – przynajmniej na razie. Próbki kodu, które do nas trafiły nie niosą za sobą (póki co) żadnego dla użytkowników ryzyka. Choć znajdują się tam nazwiska i adresy e-mail programistów, ID ticketów z systemu zarządzania błędami oraz nazwy funkcji i intranetowe URL-e, a także ścieżki do includów – niektóre zawierają hasła do serwerów.
Fragment pliku z kodem źródłowym PHP zwracanego uzytkownikom Allegro
Kod źródłowy Allegro

Niektórzy otrzymują też niesparsowany PHP jako "wstawkę":
Poniżej lista unikatowych plików jakich kod źródłowy podesłali nam czytelnicy (jeśli zobaczyliście kod innego pliku, dajcie znać w komentarzach):
Część z ww. plików zawiera includy i inicjalizację ładowania aplikacji (showform, show_user.php, mypayback.php, listing.php), ale pozostałe różnią się kodem i zawierają konkretne funkcje a także m.in hasła do serwerów bazodanowych czy definicje serwerów memcache. 

Kto wie, może na bazie tych wycieków w końcu uda się jednoznacznie potwierdzić albo zaprzeczyć temu, że Allegro nie hashuje haseł ? ???? 


Tego typu wycieki często spowodowane są błędną konfiguracją webservera lub błędną pracą loadbalancera i w najgorszym przypadku mogą zdradzić zahardkodowane w kodzie klucze i hasła, ujawnić błędy typu “głębokie ukrycie” a w najmniejszym stopniu pokazać na ile (nie)profesjonalnie tworzony jest kod i kto za niego odpowiada. Problem tego typu kilka lat temu dotknął też serwis blogowy Onetu. 

Dziękujemy wszystkim czytelnikom (yellowbit, Łukasz, Maciej, Sławomir, Tomasz, Michał, Dominik, Piotr, JIFFNET, Piotr, arek, wiki, Tiz, Michał, Michał, Ania, i innym), którzy podesłali do nas próbki.

Aktualizacja 19:24

Jeden z czytelników rzekomo dotarł do pliku konfiguracyjnego frameworka Allegro i wszedł tym samym w posiadanie haseł do serwerów bazodanowych Allegro (co oczywiście nic nie daje, jeśli się do serwerów nie ma dostępu). Czytelnik opublikował informacje na ten temat na swoim mikroblogu na Wykopie. Niestety wpis został już usunięty (chociaż dalej jest dostępny przez Google Cache, a jego kopie pojawiły się na Pastebinie).
Rzekomy konfig z hasłami

Należy mocno podkreślić, że nawet ujawnienie haseł (zwłaszcza, jeśli tak jak w tym przypadku, są one długie i losowe) nie stanowi zagrożenia dla użytkowników Allegro. O ile nawet przyjąć iż config ujawnia faktyczne, wewnętrzne nazwy serwerów bazodanowych, to jest niezwykle małoprawdopodobne, że dostęp do tych serwerów jest możliwy z internetu. Losowość haseł uniemożliwia też ich wykorzystanie w innym kontekście.

Aktualizacja 22:30

Allegro kategorycznie zaprzecza, że kod źródłowy zawierający hasła jest autorstwa Allegro. Oto oświadczenie serwisu: 

W nawiązaniu do informacji, które pojawiły się w Aktualizacji z godziny 19:24, stanowczo podkreślamy, że opisana sytuacja jest nieprawdziwa. Kod, który opublikował czytelnik nie należy nawet do Allegro, więc taka sytuacja nie mogła mieć miejsca. 

źródło: www.niebezpiecznik.pl
Oceń blog:
Czas czytania: 4 min
Data: 07.08.2014

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)